【用語集】個人情報保護マネジメントシステム(PMS)とは何ですか? みなさま、こんにちは。今回の「分かりやすいセキュリティ用語集」は「個人情報保護マネジメントシステム(略称:PMS)」です。
【個人情報保護マネジメントシステム(PMS)】とは何ですか?
個人情報保護マネジメントシステムについて、プライバシーマークが準拠する規格では、下記の通り定義しています。
個人情報保護マネジメントシステムとは?
事業者が、自らの事業の用に供する個人情報を保護するための方針、体制、計画、実施、監査及び見直しを含むマネジメントシステム(JIS Q 15001より)
個人情報保護マネジメントシステム(PMS)は、企業や組織が個人情報を保護するための一連の仕組みを指します。個人情報をどうやって守るかという「個人情報保護方針」を策定して、PDCAサイクル(Plan: 計画 Do: 実施 Check: 見直し Action: 改善)を通して、個人情報保護方針通りに個人情報を管理できているか、継続的に改善していく仕組みのことです。
つまり、企業は個人情報を守るための体制を作り、それを実行し、さらに継続的に改善していく仕組みを持つ必要があるということです。
ちなみに、英語では「Personal information protection Management Systems」と表記するので、特にプライバシーマークの専門家であるコンサルタントや審査員が、この英語の頭文字を並べて「PMS」ということも多いようです。
「PDCAサイクル」で企業が行うべき具体的な対応とは?
PDCAサイクルは、もともと品質管理を行うために開発された手法ですが、今日では業務改善や情報セキュリティの取り組みにも広く用いられるようになっています。それぞれの段階において、企業が実際に行うべき具体的な対応について解説していきましょう。
■PLAN(計画)
・個人情報保護方針の策定
・個人情報の特定とリスク分析
・管理策(教育計画や物理的セキュリティ対策など)の計画
・PMS文書の作成
■DO(実行)
・従業員への教育や研修の実施
・委託先管理の実施
・業務でのルール適用
・セキュリティ対策の実施
■CHECK(見直し)
・内部監査の実施(是正/改善点の抽出)
・マネジメントレビューの実施
■ACTION(改善)
・発見された不適合に対する再発防止策の実施
・文書(規定や手順書など)の改訂
・教育内容や管理策の改善
これらを個人情報保護の取り組みに用いたのが個人情報保護マネジメントシステムとなります。個人情報を保護するために「目標を設定し、具体的な計画を立て(PLAN)」「計画にもとづいて実行し(DO)」「計画通り行われているか、目標は達成しているかを確認し評価する(CHECK)」「評価をもとに、さらに改善する(ACTION)」ことを繰り返していくのが、個人情報保護マネジメントシステムです。お分かりいただけますでしょうか?
個人情報マネジメントシステムとプライバシーマークの関係性
プライバシーマークは、「JISQ15001」に基づく適合性評価を受けた企業や団体に付与される認証制度のことです。
近年、個人情報の漏洩や不正流出といったトラブルが相次いでおり、これを踏まえて個人情報保護の必要性がますます高まっています。そのため、対策の継続的な運用と強化が求められています。
具体的には、まず保護すべき個人情報を明確化し、潜在的なリスクを洗い出したうえで、適切な管理策を講じることが重要です。さらに、従業員の意識向上を図る研修を実施し、定期的な監査を行うことで、保護体制を段階的に向上(スパイラルアップ)させていくことが必要となります。
個人情報保護マネジメントシステム(PMS)は具体的にどのようにすれば良いか
例えば、学校で学生の個人情報(名前、住所、成績など)を管理する場合を考えてみましょう。この情報が外部に漏れたり、勝手に使われたりしないようにするために、以下のようなことを行います。
1 方針の策定
まずは「私たちの学校は学生の個人情報をしっかり守る」という方針を決めます。
2 体制の構築
誰が個人情報を管理するか、責任者を決めます。
3 計画の作成
個人情報をどうやって安全に保つかの計画を立てます(例:デジタル情報はパスワードで保護する、紙の情報は鍵のかかる場所に保管する)など。
4 実施
計画に基づいて実際に個人情報を管理します。
5 見直し
ちゃんと計画通りに個人情報が守られているかを定期的にチェックします。
6 改善
監査の結果を元に、問題点があれば改善策を考えます。
個人情報保護マネジメントシステム(PMS)は、企業や組織が個人情報を守るための仕組みです。具体的には、方針を決め、計画を立て、実行し、監査し、見直して改善していくという一連のプロセスを繰り返すことです。これにより、常に最新の状態で個人情報を保護し続けることができます。
また、個人情報がどの範囲まで指すのか、についてはこちらの記事で解説しているのでお読みください。
プライバシーマーク(Pマーク)の注意点
Pマークの取得は、PMSを導入することによる大きな利点の一つです。これにより、取引先を含む外部に対して、自社が個人情報保護を重視し、適切な管理を行っている企業であることを効果的に示すことができます。
ただし、Pマークの取得・運用には、事前に理解しておくべき注意点もいくつか存在します。
業務の負担が増加する可能性もある
前述の通り、PMSの運用には、責任者の選任、各種書類の作成、申請手続きの整備、社内教育の徹底など、数多くの業務が発生します。特に、これまで個人情報保護対策に重点を置いてこなかった企業にとっては、新たに取り組むべき事項が多く、業務が煩雑になることが予想されます。
しかし、日本国内においても改正個人情報保護法の全面施行が予定されており、個人情報を厳格に管理すべきだという意識が高まっています。そのため、専門のコンサルタントを活用するなどして、業務の効率性を維持しつつ運用負担を軽減する工夫が求められます。また、一定のコストは必要な投資と割り切る姿勢も重要となるでしょう。
定期的な更新対応が必要
Pマークは一度取得すれば永久に有効というわけではなく、2年間の有効期限が設けられています。有効期間が満了する8ヵ月前から4ヵ月前の間に更新申請を行い、その後の審査を経て認定が継続される仕組みです。
この更新対応は企業にとって一定の負担となるものの、資格の形骸化を防ぐためには欠かせないプロセスです。特に、個人情報保護の分野は法改正や社会情勢の変化に伴い求められる基準が変わることも多いため、最新の要件に適応し続けることが重要となります。
情報漏えい発生時の報告義務
Pマークの認定を維持するには、PMSを適切に運用するだけでなく、「プライバシーマーク付与に関する規約」を順守する必要があります。
この規約では、万が一情報漏えい事故が発生した場合、関係する審査機関への報告が義務付けられています。適切な対応を行わないと、認定の維持が困難になる可能性があるため、日頃からリスク管理を徹底し、万が一の際にも迅速に対応できる体制を整えておくことが重要です。
オプティマ・ソリューションズでは、プライバシーマーク取得を徹底的にサポートいたします!
弊社では数多くのお客様のPマーク取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にPマークの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからPマークを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
